Vorschriften und Konformität

4 min

EU AI Act 2026: Was deutsche Unternehmen über die KI-Verordnung wissen müssen

AI in Contract Management

Entdecken Sie die elektronische Signatur von Yousign

Testen Sie 14 Tage kostenlos unsere sichere, rechtskonforme und benutzerfreundliche eSignatur-Lösung.

Der EU AI Act (Verordnung EU 2024/1689) ist das weltweit erste umfassende Regelwerk für künstliche Intelligenz. Die Verordnung tritt zwischen 2024 und 2026 schrittweise in Kraft. Deutsche Unternehmen müssen ihre KI-Systeme gemäß Risikoklassen bewerten, Dokumentationspflichten erfüllen und Governance-Strukturen aufbauen. Bei Verstößen drohen Bußgelder bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Die Digitalisierung von Compliance-Prozessen, etwa durch elektronische Signaturen, bietet Unternehmen die Chance, Anforderungen effizient zu erfüllen und Wettbewerbsvorteile zu sichern.

Die rasante Entwicklung künstlicher Intelligenz verändert Wirtschaft und Gesellschaft grundlegend. Mit dem EU AI Act hat die Europäische Union nun einen rechtlichen Rahmen geschaffen, der Innovation fördern und gleichzeitig die Grundrechte der Bürgerinnen und Bürger schützen soll. Für deutsche Unternehmen bedeutet dies: Wer KI-Systeme entwickelt oder einsetzt, muss sich mit neuen Pflichten auseinandersetzen.

In diesem Leitfaden erfahren Sie, was der EU AI Act konkret regelt, welche Fristen gelten und welche Maßnahmen Ihr Unternehmen ergreifen muss, um compliant zu bleiben.

Was ist der EU AI Act?

Der EU AI Act (offiziell: Verordnung (EU) 2024/1689 über künstliche Intelligenz) ist die weltweit erste umfassende Gesetzgebung zur Regulierung von künstlicher Intelligenz. Die Verordnung wurde am 12. Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht und ist am 1. August 2024 teilweise in Kraft getreten.

Das Ziel des Regelwerks ist es, einen einheitlichen Rechtsrahmen für die Entwicklung, den Vertrieb und die Nutzung von KI-Systemen in der Europäischen Union zu schaffen. Dabei verfolgt die EU einen risikobasierten Ansatz: Je höher das potenzielle Risiko eines KI-Systems für die Gesundheit, Sicherheit oder Grundrechte von Personen ist, desto strenger sind die regulatorischen Anforderungen.

Die Verordnung gilt für alle Anbieter, Betreiber und Nutzer von KI-Systemen innerhalb der EU – unabhängig davon, ob die Systeme innerhalb oder außerhalb der Union entwickelt wurden. Deutsche Unternehmen, die KI einsetzen, müssen sich daher intensiv mit den neuen Vorgaben auseinandersetzen.

Das Amt für künstliche Intelligenz (AI Office) der Europäischen Kommission überwacht die Einhaltung der Vorschriften und koordiniert die Zusammenarbeit zwischen den nationalen Behörden.

Wichtig

Der EU AI Act gilt für alle Unternehmen in der EU, die KI-Systeme entwickeln oder nutzen – von Start-ups bis zu Konzernen. Auch wenn Ihre KI-Lösungen außerhalb Europas entwickelt wurden, unterliegen Sie der Verordnung, sobald sie in der EU zum Einsatz kommen.

Wann tritt der EU AI Act in Kraft? Zeitplan und Fristen

Der EU AI Act wird stufenweise umgesetzt. Unternehmen haben unterschiedliche Fristen, um ihre Systeme anzupassen:

Datum

Meilenstein

August 2024

Inkrafttreten der Verordnung; erste Bestimmungen werden wirksam

Februar 2025

Verbot bestimmter KI-Praktiken (z. B. Social Scoring, biometrische Fernidentifikation zu Überwachungszwecken)

August 2025

Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI-Modelle)

August 2026

Vollständige Anwendung auf Hochrisiko-KI-Systeme; alle Compliance-Vorgaben müssen umgesetzt sein

August 2027

Übergangsfristen für bestimmte Hochrisiko-Systeme, die bereits vor Inkrafttreten des AI Acts auf dem Markt waren

Deutsche Unternehmen sollten jetzt mit der Bestandsaufnahme beginnen, um alle Fristen einhalten zu können und Bußgelder zu vermeiden.

Die Risikoklassifizierung von KI-Systemen

Das Herzstück des EU AI Acts ist die Risikoklassifizierung. Jedes KI-System wird einer von drei Kategorien zugeordnet, die jeweils unterschiedliche Anforderungen nach sich ziehen.

Überblick: Risikoklassen im EU AI Act

Risikoklasse

Beispiele

Anforderungen

Sanktionen bei Verstoß

Verboten

Social Scoring durch Behörden, biometrische Massenüberwachung, Manipulation von Verhalten

Absolutes Verbot

Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes

Hochrisiko

Personalmanagement, Kreditwürdigkeitsprüfung, kritische Infrastrukturen, Bildungsbewertung

Konformitätsbewertung, technische Dokumentation, QM-System, menschliche Aufsicht

Bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes

Begrenztes Risiko

Chatbots, KI-generierte Inhalte (Deepfakes), synthetische Medien

Transparenzpflichten, Kennzeichnung als KI-generiert

Bis zu 7,5 Millionen Euro oder 1,5 % des Jahresumsatzes

Verbotene KI-Praktiken

Bestimmte KI-Anwendungen sind in der EU grundsätzlich untersagt, weil sie als inakzeptables Risiko für die Grundrechte gelten. Dazu gehören:

  • Social Scoring durch staatliche Behörden: Bewertungssysteme, die Personen aufgrund ihres sozialen Verhaltens klassifizieren
  • Manipulation von Verhalten: KI-Systeme, die das Verhalten von Personen manipulieren, um ihnen Schaden zuzufügen
  • Biometrische Fernidentifikation in Echtzeit: Einsatz von Gesichtserkennung zur Massenüberwachung im öffentlichen Raum (Ausnahmen nur für Strafverfolgung unter strengen Bedingungen)
  • Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen

Unternehmen, die solche Systeme entwickeln oder einsetzen, riskieren die höchsten Strafen nach dem EU AI Act.

Hochrisiko-KI-Systeme

Hochrisiko-KI-Systeme sind solche, die ein erhebliches Potenzial haben, die Gesundheit, Sicherheit oder Grundrechte von Personen zu beeinträchtigen. Die Verordnung listet detailliert auf, welche Anwendungsbereiche darunter fallen, unter anderem:

  • Biometrische Identifikation und Kategorisierung von Personen
  • Kritische Infrastrukturen (z. B. Verkehr, Wasserversorgung, Energie)
  • Zugang zu Bildung und Berufsbildung (z. B. Bewertung von Prüfungen)
  • Beschäftigung und Personalmanagement (z. B. Bewerbungssysteme, Leistungsüberwachung)
  • Zugang zu grundlegenden Dienstleistungen (z. B. Kreditwürdigkeitsprüfung)
  • Strafverfolgung (z. B. Risikobewertung für Straftaten)
  • Migration, Asyl und Grenzkontrolle
  • Rechtsprechung und demokratische Prozesse

Für Hochrisiko-Systeme gelten umfangreiche Compliance-Pflichten, darunter Konformitätsbewertungen, Dokumentation, Transparenz, menschliche Aufsicht und kontinuierliches Monitoring.

KI-Systeme mit begrenztem Risiko

KI-Systeme, die nicht unter die Kategorien „verboten" oder „Hochrisiko" fallen, unterliegen weniger strengen Vorgaben. Dennoch müssen Betreiber bestimmte Transparenzpflichten erfüllen, insbesondere:

  • Kennzeichnung von KI-generierten Inhalten: Nutzer müssen darüber informiert werden, wenn sie mit einem KI-System interagieren (z. B. Chatbots)
  • Offenlegung bei synthetischen Inhalten: Deepfakes oder KI-generierte Bilder, Videos und Audios müssen klar als solche gekennzeichnet werden

Diese Transparenzpflichten sollen sicherstellen, dass Menschen nicht getäuscht werden und fundierte Entscheidungen treffen können.

Compliance-Pflichten für deutsche Unternehmen

Der EU AI Act verpflichtet Unternehmen, eine systematische und dokumentierte Vorgehensweise zur Einhaltung der Verordnung zu etablieren. Die wichtigsten Schritte sind:

Mapping und Risikobewertung

Der erste Schritt besteht darin, alle KI-Systeme im Unternehmen zu identifizieren und zu kartieren. Dazu gehören sowohl intern entwickelte als auch zugekaufte Lösungen. Jedes System muss anschließend nach dem Risikoansatz des EU AI Acts bewertet werden:

  • Ist das System verboten?
  • Fällt es in die Kategorie Hochrisiko?
  • Welche Transparenzpflichten bestehen?

Unternehmen sollten eine zentrale Übersicht erstellen und regelmäßig aktualisieren. Eine strukturierte Dokumentenverwaltung ist hierfür unerlässlich – digitale Lösungen und elektronische Signaturen können helfen, Prozesse effizient und revisionssicher zu gestalten.

Dokumentations- und Transparenzpflichten

Für Hochrisiko-KI-Systeme verlangt die Verordnung eine umfassende technische Dokumentation, die Folgendes umfasst:

  • Beschreibung des KI-Systems und seines Verwendungszwecks
  • Datenquellen und Trainingsdaten
  • Algorithmen und Modellarchitektur
  • Risikobewertung und Maßnahmen zur Risikominderung
  • Ergebnisse von Tests und Validierungen

Diese Dokumentation muss stets aktuell gehalten und bei Prüfungen durch Aufsichtsbehörden vorgelegt werden können. Elektronische Archivierungssysteme mit revisionssicherer Verwaltung bieten hierfür eine zuverlässige Grundlage.

Zudem müssen Anbieter und Betreiber ein Qualitätsmanagementsystem etablieren, das die Einhaltung der Anforderungen gewährleistet und kontinuierlich überwacht.

Schulung und Governance

Ein weiterer zentraler Bestandteil der Compliance ist die Schulung von Mitarbeitenden. Alle Personen, die mit KI-Systemen arbeiten, müssen über die rechtlichen Anforderungen, potenzielle Risiken und ethische Aspekte informiert sein. Schulungen sollten dokumentiert und regelmäßig wiederholt werden.

Darüber hinaus müssen Unternehmen eine Governance-Struktur aufbauen, die folgende Bereiche einbezieht:

  • IT und Technik
  • Rechtsabteilung
  • Compliance und Datenschutz (DSGVO-Konformität)
  • Risikomanagement

Ein interdisziplinäres KI-Governance-Team sollte die Umsetzung koordinieren, Vorfälle überwachen und bei Bedarf schnelle Anpassungen vornehmen. Das Amt für künstliche Intelligenz stellt hierzu Leitfäden und Best Practices zur Verfügung.

Achtung

Unternehmen müssen sicherstellen, dass ihre KI-Systeme sowohl mit dem EU AI Act als auch mit der DSGVO und weiteren Datenschutzvorschriften konform sind. Personenbezogene Daten dürfen nur rechtmäßig verarbeitet werden, und Nutzer müssen über die Verwendung ihrer Daten informiert werden.

Sanktionen bei Nichteinhaltung

Der EU AI Act sieht empfindliche Bußgelder für Verstöße vor. Die Höhe richtet sich nach der Schwere des Verstoßes:

  • Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) bei Einsatz verbotener KI-Praktiken
  • Bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes bei Verstößen gegen Pflichten für Hochrisiko-Systeme
  • Bis zu 7,5 Millionen Euro oder 1,5 % des Jahresumsatzes bei falschen oder unvollständigen Informationen gegenüber Behörden

Neben finanziellen Strafen drohen auch Reputationsschäden und der Verlust des Vertrauens von Kunden und Geschäftspartnern. Eine proaktive Compliance-Strategie ist daher nicht nur eine rechtliche Notwendigkeit, sondern auch eine strategische Investition.

Chancen durch Digitalisierung: Elektronische Signatur für die Compliance

Die Anforderungen des EU AI Acts bringen für Unternehmen zwar Herausforderungen mit sich, eröffnen jedoch auch Chancen für die Digitalisierung interner Prozesse. Insbesondere die elektronische Signatur kann dabei helfen, Compliance-Anforderungen effizient und rechtssicher zu erfüllen.

Die Dokumentationspflichten des EU AI Acts erfordern, dass zahlreiche Verträge, Vereinbarungen, Schulungsnachweise und Genehmigungen erstellt, unterzeichnet und revisionssicher archiviert werden. Hier bietet die elektronische Signatur entscheidende Vorteile:

  • Rechtssicherheit: Elektronische Signaturen sind nach der eIDAS-Verordnung in der gesamten EU rechtsgültig
  • Zeitersparnis: Dokumente können ortsunabhängig und in Echtzeit unterzeichnet werden – ohne Papier, ohne Postweg
  • Nachvollziehbarkeit: Jede Signatur wird mit einem Zeitstempel und eindeutigen Identifikationsdaten versehen, was die Compliance mit Transparenzpflichten erleichtert
  • Revisionssichere Archivierung: Signierte Dokumente werden langfristig und sicher gespeichert – ideal für Audits und Behördenanfragen
  • Integration in bestehende Systeme: Moderne E-Signatur-Lösungen lassen sich nahtlos in Dokumentenmanagementsysteme, CRM-Tools und andere Unternehmensanwendungen integrieren

Unternehmen, die ihre Compliance-Prozesse digitalisieren, sind nicht nur schneller und effizienter, sondern auch besser auf die Anforderungen des EU AI Acts vorbereitet.

Compliance-Dokumentation digital und rechtssicher verwalten mit Yousign

Mit Yousign digitalisieren Sie Ihre Compliance-Prozesse effizient

FAQ: Häufig gestellte Fragen zum EU AI Act

  • Gilt der EU AI Act auch für kleine und mittelständische Unternehmen (KMU)?

    Ja, der EU AI Act gilt für alle Unternehmen, die KI-Systeme entwickeln oder nutzen – unabhängig von ihrer Größe. Allerdings sieht die Verordnung Erleichterungen für KMU und Start-ups vor, etwa durch Zugang zu regulatorischen Sandboxes, die das Testen von KI-Innovationen unter Aufsicht ermöglichen. Zudem können KMU von Unterstützungsprogrammen auf nationaler und europäischer Ebene profitieren.

  • Was sind GPAI-Modelle und welche Pflichten gelten für sie?

    GPAI steht für General Purpose AI, also KI-Modelle mit allgemeinem Verwendungszweck, wie z. B. große Sprachmodelle (ChatGPT, Claude etc.). Anbieter solcher Modelle müssen ab dem 2. August 2025 besondere Pflichten erfüllen, darunter:

    • Transparenz über Trainingsdaten und Modellarchitektur
    • Maßnahmen zur Vermeidung der Generierung illegaler Inhalte
    • Registrierung im EU-Datenbank für KI-Systeme

    Unternehmen, die GPAI-Modelle nutzen, sollten sicherstellen, dass ihre Anbieter compliant sind.

  • Wie kann mein Unternehmen mit der Compliance beginnen?

    Beginnen Sie mit einem AI Audit: Erstellen Sie eine Liste aller genutzten KI-Systeme, bewerten Sie deren Risiko und identifizieren Sie Handlungsbedarfe. Bilden Sie ein interdisziplinäres Team aus IT, Recht, Compliance und Risikomanagement. Schulen Sie Ihre Mitarbeitenden und implementieren Sie Prozesse für Dokumentation, Überwachung und Meldung von Vorfällen.

  • Welche Rolle spielt die DSGVO im Zusammenhang mit dem EU AI Act?

    Die DSGVO bleibt weiterhin anwendbar. KI-Systeme, die personenbezogene Daten verarbeiten, müssen beide Verordnungen einhalten. Das bedeutet: Datenschutzgrundsätze wie Transparenz, Zweckbindung und Datenminimierung gelten auch für KI-Anwendungen. Bei Verstößen gegen die DSGVO drohen zusätzliche Sanktionen.

  • Gibt es Übergangsfristen für bestehende KI-Systeme?

    Ja, Hochrisiko-KI-Systeme, die bereits vor dem 2. August 2024 auf dem Markt waren, haben eine Übergangsfrist bis zum 2. August 2027, um die neuen Anforderungen zu erfüllen. Dennoch sollten Unternehmen nicht abwarten, sondern frühzeitig mit der Anpassung beginnen.

Fazit: Jetzt handeln und Compliance sicherstellen

Der EU AI Act markiert einen Wendepunkt in der Regulierung künstlicher Intelligenz. Deutsche Unternehmen, die KI-Systeme entwickeln oder einsetzen, müssen sich jetzt mit den neuen Anforderungen auseinandersetzen, um Bußgelder zu vermeiden und Wettbewerbsvorteile zu sichern.

Eine erfolgreiche Compliance-Strategie beginnt mit der systematischen Erfassung aller KI-Systeme, der Bewertung ihrer Risiken und der Implementierung transparenter Dokumentations- und Governance-Strukturen. Die Digitalisierung von Compliance-Prozessen – etwa durch den Einsatz elektronischer Signaturen – hilft Unternehmen, Anforderungen effizient und rechtssicher zu erfüllen.

Wer frühzeitig handelt, minimiert nicht nur rechtliche Risiken, sondern positioniert sich auch als verantwortungsbewusster Akteur in einer zunehmend regulierten digitalen Zukunft.

Bereit für den EU AI Act?

Digitalisieren Sie Ihre Compliance-Prozesse mit Yousign

Entdecken Sie die kostenlose elektronische Signatur von Yousign

Elaura Signaire

Elaura Signaire

SEO Manager @Yousign

Empfohlene Artikel

Entdecken Sie unsere Kategorien

Testen Sie Yousign
14 Tage lang kostenlos

Vertrauen Sie wie mehr als 30.000 europäische Unternehmen Yousign zur Unterzeichnung und Verifizierung Ihrer Dokumente.

Kontakt
cta illustration